-
Junior Member
- Вес репутации
- 52
Не открываются сайты антивирусных программ
Здравствуйте! Очень медленно стал работать компьютер, программа антивирус находила много гадости, но справиться с ней не могла. Снес винду и поставил новую. 3 дня все было хорошо, теперь опять проблемы: не открываются сайты антивирусных программ, virusinfo.info и др.; утилиты касперского и др.веба находят много вирусов, но сделать с ними ничего не могут. В правилах оформления темы было указано, что нужно отключить восстановление системы. Отключить не удалось: "ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и повторите попытку." Компьютер перезагружал - не помогло.
Помогите, пожалуйста, решить проблему.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Предполагается наличие файлового вируса, запакуйте(zip-архив, с паролем virus) и пришлите файл avz.exe по ссылке Прислать запрошенный карантин над первым сообщение Вашей темы. Далее - лечиться надо так - http://virusinfo.info/showthread.php?t=15927 со всеми подключенными съёмными носителями.
-
-
Junior Member
- Вес репутации
- 52
Файл отправил. В рекомендациях по лечению сказано, что восстановление системы должно быть отключено. А с этим у меня проблемы - не получается отключить, текст ошибки я написал выше в первом посте.
-
-
-
Junior Member
- Вес репутации
- 52
проверка завершена, все сайты открываются. Но восстановление системы по прежнему не работает. И как проверить осталась ли еще какая нибудь зараза?
-
Теперь - логи по правилам. Как в первом сообшении, только новые.
-
-
Junior Member
- Вес репутации
- 52
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\docume~1\f185~1\locals~1\temp\11np.exe');
TerminateProcessByName('c:\docume~1\f185~1\locals~1\temp\kfxg2c9.exe');
TerminateProcessByName('C:\WINDOWS\system32\net.exe');
QuarantineFile('C:\WINDOWS\system32\net.exe','');
TerminateProcessByName('C:\WINDOWS\system32\sc.exe');
QuarantineFile('C:\WINDOWS\system32\sc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\DOCUME~1\F185~1\APPLIC~1\IDENTI~1\WINUPL~1\msftldr.dll','');
QuarantineFile('C:\DOCUME~1\F185~1\LOCALS~1\Temp\11np.exe','');
QuarantineFile('C:\DOCUME~1\F185~1\LOCALS~1\Temp\kfxg2c9.exe','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ztsmbosnq9.sys','');
QuarantineFile('\SystemRoot\system32\drivers\ztsmbosnq9.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\zcmtonjnaiw9.sys','');
QuarantineFile('C:\WINDOWS\Fonts\services.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\EXPLORER.EXE','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
DeleteFile('G:\EXPLORER.EXE');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\Fonts\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\zcmtonjnaiw9.sys');
DeleteFile('\SystemRoot\system32\drivers\ztsmbosnq9.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ztsmbosnq9.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','apps');
DeleteFile('C:\DOCUME~1\F185~1\LOCALS~1\Temp\kfxg2c9.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','mmbsp');
DeleteFile('C:\DOCUME~1\F185~1\LOCALS~1\Temp\11np.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','xal6whv');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 52
теперь компьютер все время перезагружается сам. Выполнил скрипт в безопасном режиме, после этого вроде нормально. Но отключить восстановление системы так и не удалось - все та же ошибка
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('zcmtonjnaiw9');
DeleteFile('C:\WINDOWS\system32\drivers\zcmtonjnaiw9.sys');
BC_DeleteSvc('zcmtonjnaiw9');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Файл C:\WINDOWS\system32\Drivers\NDIS.sys необходимо заменить чистым, с дистрибутива.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 43
- В ходе лечения обнаружены вредоносные программы:
- \\avz.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )
- c:\\docume~1\\f185~1\\locals~1\\temp\\kfxg2c9.exe - Backdoor.Win32.VB.mhn ( DrWEB: Trojan.DownLoader1.29937, BitDefender: Trojan.Generic.4954347, AVAST4: Win32:VB-QQH [Trj] )
- c:\\docume~1\\f185~1\\locals~1\\temp\\11np.exe - Backdoor.Win32.VB.mia ( DrWEB: BackDoor.Siggen.26837, BitDefender: Gen:Trojan.Heur.PT.cmGfbaQTuIf, AVAST4: Win32:VB-QQH [Trj] )
- c:\\program files\\internet explorer\\rasadhlp.dll - Backdoor.Win32.Delf.woe ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\windows\\fonts\\services.exe - Trojan-Spy.Win32.VB.coq ( DrWEB: BackDoor.Spy.312, BitDefender: Trojan.Generic.4979947, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
- c:\\windows\\system32\\drivers\\zcmtonjnaiw9.sys - Rootkit.Win32.Tent.ccb ( DrWEB: Trojan.NtRootKit.9733, BitDefender: Trojan.Generic.5003550, AVAST4: Win32:Agent-AHBJ [Rtk] )
- c:\\windows\\system32\\drivers\\ztsmbosnq9.sys - Rootkit.Win32.Tent.cca ( DrWEB: Trojan.NtRootKit.9733, BitDefender: Trojan.Generic.5003878, AVAST4: Win32:Agent-AHBJ [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-